2015年12月12日
■ 二郎本で学ぶ「ここがおかしいよ」改正法解説(保護法改正はどうなった 番外編)
「完全匿名化処理技術\メルセンヌ・ツイスター/」を認定した「匿名化委員会」の解散から早3年、牧野二郎先生がご著書「新個人情報保護法とマイナンバー法への対応はこうする!」(以下「二郎本」という。*1)をご出版されたと聞き、ワクテカで購入したところ、さすが実業出版だけあって、大いに使える本に仕上がっていた。パラパラとどこを開いても間違った記述が見つかる。
まず、わかりやすいところでは、ここ。
「とされています。」っておいおい、それは附則だぞ。「行政機関における保有個人情報についても、匿名加工が許されており、」って、まだ何も決まってないんだぞ。「この「行政機関等匿名加工情報」の利用目的や、取扱いの内容については、さらに個人情報保護委員会に検討させて、所要の措置を講ずる、としています。」って、オイ、検討するのは行政管理局だし、個人情報保護委員会に行わせることを検討するんだぞ。所要の措置ってのは行政機関法の改正のことだなんだぞ。それに、それ「マイナンバー法」じゃないし……。
個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年法律第65号)附則
(検討)
第12条 政府は、施行日までに、新個人情報保護法の規定の趣旨を踏まえ、行政機関の保有する個人情報の保護に関する法律第二条第一項に規定する行政機関が保有する同条第二項に規定する個人情報及び独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等が保有する同条第二項に規定する個人情報(以下この条において「行政機関等保有個人情報」と総称する。)の取扱いに関する規制の在り方について、匿名加工情報(新個人情報保護法第二条第九項に規定する匿名加工情報をいい、行政機関等匿名加工情報(行政機関等保有個人情報を加工して得られる匿名加工情報をいう。以下この項において同じ。)を含む。)の円滑かつ迅速な利用を促進する観点から、行政機関等匿名加工情報の取扱いに対する指導、助言等を統一的かつ横断的に個人情報保護委員会に行わせることを含めて検討を加え、その結果に基づいて所要の措置を講ずるものとする。
いったい附則を何だと思っているのだろうか。
それから次に、こちら。
共同利用の該当要件が改正で変わったというのだが、これは単に日本語の直しをしただけのところだ。
今回の改正で、旧23条4項は、23条5項に項番号がずれた(4項(委員会による公表)が挿入されたため)うえ、若干の文言修正が行なわれている。23条5項は、二郎本が指摘する3号だけでなく、1号も修正されており、2号と合わせて見比べれば、その意図は明らかであろう。
45 次に掲げる場合において、当該個人データの提供を受ける者は、前三項前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 個人データを特定の者との間で共同して利用するされる個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
1号の委託のケースは、改正前では「……個人データの取扱いの全部又は一部を委託する場合」とざっくり書かれていたのが、改正によって「委託することに伴って当該個人データが提供される場合」と、わざわざそういう言い回しに書き直された。委託について何か明確化するという議論はなかったので、この修正に内容の変更を伴う意図はないはず。単に「委託する場合」という言い回しでは曖昧なので、「ことに伴って提供される場合」と書いたものと思われる。この文言は、2号に元からあった「事業の承継に伴って個人データが提供される場合」との表現と揃えられたものとみられる。*2
それに照らしてみれば、3号の共同利用のケースも、改正前で「個人データを特定の者との間で共同して利用する場合」とざっくり書かれていたのが、「共同して利用される個人データが提供される場合」と書き直されたのも、1号と同趣旨と考えられる。
それなのに、二郎本は、「というように、「当該特定の者に提供される」という言い回しにより、特定の者という点が強調され、不特定ではいけない、という意味が色濃く出ました。」と主張する。
「特定の者」云々というが、改正前から3号は「個人データを特定の者との間で共同して利用する場合」となっていて、「特定の者」との間での共同利用に限られることは元々明記されていたのだから、「お前はいったい何を言っているんだ?」である。「当該特定の者」と「当該」が付いているのは、文の前に先に出ている「特定の者」を指しているだけなので、そこに特別な意味はない。
また、「共同利用であって、提供関係ではないはずなのに、あえて提供されるとしている点も特徴的です。」などとわけのわからないことを言っているが、23条5項(改正前では4項)のこの規定は、柱書きに「第三者に該当しないものとする。」とあるように、「提供は提供だけども23条の第三者提供には当たらないことにするよ」という意味であり、二郎本が言う「提供関係ではないはずなのに」というのはまさにこの規定の「第三者提供には当たらないことにする」の趣旨そのものである。*3
二郎本は、第5-2節で「共同利用に大きな制限」という見出しを付け(前掲図2)、あたかも今回の改正で規制強化されたかの如く書き、見出しに「★消費者にとってメリットのある制度でも厳しく制限される」などと副題を付けて、これに不満を滲ませているが、本文中には次のように書かれている。
この制度設計と現実との乖離現象が明確化したのが、ポイント制度でした。様々な企業が、顧客が購入した商品ごとにポイントを付与して、ポイントを利用すれば実質値引きが実現するようなサービスが始まり、特定のポイントに多数の事業者が加盟して、互いに情報を交換しあって、ポイントの利用価値を高めるようになってきました。
特定のポイント制度に集まる事業者の数は数百、数千と膨らんでいきましたので、ポイントサービスは広範囲に普及するようになってきました。
ポイント制度では、ある商品を買った場合、買った商品に対して一定のポイントが与えられます。そのポイントを持って、他の商店でポイントを使うことができるわけですが、そのためには、当該消費者が何ポイント持っているのかを商店が共有情報として持ち、一定のポイントを消化して割り引いた場合には、消費者の保有ポイントが直ちに減少し、その情報が他の商店と共有される必要があります。こうして、ポイントを管理する本部に情報が集約するのですが、各店舗での利用状況が反映されるため、共同利用形態が活用されたわけです。
しかし、経済産業省はこうした共同利用を認めず、第三者提供として処理すべきであると判断しました。それは、当初の制度設計が固定的なものであったこと、さらに、急速に増加する加盟店について、消費者が知る機会がないこと、もはや「特定の者」とはいえないのが現実であること等の理由だったようです。
事業者側は、ポイントをどこでも利用できるような便利なサービスにするのは消費者の希望であり、ポイント制度は消費者の利便性に資するものであるのであって、加盟店が増加するのは消費者のためにこそなり、弊害に当たらない、と反論しました。また、個人情報といってもポイントの数値の共同だけですので、消費者の利害関係に強く影響することはないことも理由の1つであったようです。
牧野二郎, 新個人情報保護法とマイナンバー法への対応はこうする!, 日本実業出版社(2015), 167〜169頁
これはTポイントの件のことのつもりなのだろう。CCCがT会員規約で「共同利用」としていたのを「第三者提供」に改めた経緯については、先月21日の日記「CCCはお気の毒と言わざるをえない」にまとめた通りであるが、二郎本の言っているこれは破茶滅茶だ。
まず、これは今回の法改正により規制強化されたのではなく、経済産業省ガイドラインの改正で明記されたものであり、法改正前から元々違法であったもの*4である。
次に、二郎本は「経済産業省は(略)第三者提供として処理すべきであると判断しました。」と言っているが、経産省ガイドライン改正で明記されたのは、共同利用に当たらないことだけであって、「第三者提供で処理すべき」などとは誰も言っていない。先月21日の日記「CCCはお気の毒と言わざるをえない」に書いたように、Tポイントのケースは、第三者提供も加盟店に対しては行われていないのが実態であると推察されるところであり、それを「第三者提供」とする道を選んだのはCCCの独走によるものにすぎない。
そして致命的に駄目なのが、事実認識が出鱈目だということだ。
「当該消費者が何ポイント持っているのかを商店が共有情報として持ち、一定のポイントを消化して割り引いた場合には、消費者の保有ポイントが直ちに減少し、その情報が他の商店と共有される必要があります。」などと書かれているが、Tポイント事業にそのような実態はない。「何ポイント」の管理はすべて共通ポイント運営者であるCCCが行っていて、加盟店は、端末の設置と操作を委託されているだけであり、「何ポイント」のデータを保有していない。このことは、Tポイント以外の共通ポイントやクレジットカードに付帯するポイントサービスに目を向けても同様であり、二郎本が言うような事業形態は存在しないだろう。いったいどこの世界を見ているのか?
しかも、「個人情報といってもポイントの数値の共同だけですので、消費者の利害関係に強く影響することはない」などと書かれているが、問題となったのは、ポイントが付く際に、購入した商品名まで店舗からCCCへ送信され、それがデータベース化されて利用されており、「共同利用する」というのがそうした購買履歴が加盟店に提供されることを意味しているのか*5であった。二郎本は何が問題点とされたのかまるで見えていない。
二郎本が着目している、ポイント使用時のポイント数データの移転について、どうかと言えば、加盟店側で使用ポイント分の差引額を記録することになるから、これがポイント会社から加盟店への第三者提供*6ということになるが、個別の本人同意による移転であることは明らか(ポイントを使用すればポイント会社からその加盟店に使用額が渡されるのは自明*7)なので、そんなことは端から誰も問題にしていない。
そして重要なのが、こちら。
「これまで、匿名加工する場合にも本人の同意が必要である、というのが政府のガイドライン等の要求でした。個人情報から出たものは個人情報だ、という考え方でした。」「その点が見直され、今回の改正になったのです。(略)いつでも、自由に、加工作業ができることになりました。」などと、全く出鱈目なことが書かれている。
これまでに何度も書いてきたように、統計値へ集計するための入力とするのは個人情報の利用に当たらないというのが、経産省ガイドラインQ&A「Q45」で示された考え方であった。
個人情報だと一切触れてはいけないという誤解は、いったいどこから出てくるのであろうか。例えば、電気通信事業者が通信の秘密に抵触するような処理であれば、統計値へ集計する入力にするからといって通信の秘密を侵してはならないし、一部の業法で規制されている分野や刑法に抵触する場面でも、同様に一切触れてはならないとされるところもあるのだろう。また、一般的な個人データであっても、委託元から受託している案件については、統計値へ集計するするからといって勝手に独自の集計への入力としてはならないのは当然であるが、それらにはちゃんと個人情報保護法とは別の理由があるわけだ。(むろん、これらの場合は、法改正により匿名加工情報に加工することが認められるようになるわけでもない。)
二郎本が言うような「個人情報から出たものは個人情報だ」という発想は、そういったケースと混同しているのだろうか。
二郎本のこれを読んで真に受けた読者は、前回の日記「匿名加工情報は何でないか・前編」の「匿名加工情報の定義に該当するからといって36条〜39条の義務が課されるわけではない」で注意喚起した典型的な誤解をするだろう。
匿名加工は従前もごく普通に行われてきたこと(安全管理措置として、又は、統計値への集計の途中過程として)なのに、二郎本によれば「匿名加工する場合にも本人の同意が必要」だったことになっている。この本を真に受ければ、「委員会規則の基準に従わない匿名加工は禁止だー!」と思ってしまう人が続出するだろう。
本文には次のように書かれている。
(2)なぜ匿名加工情報なのか
様々なサービス事業者が、個人に働きかける場合には、個人識別情報を利用して、特定の個人にアプローチするでしょう。しかし、現在のマーケティング手法では、そうした個々の個人への直接的なアプローチだけではなく、メディアやサービスを通してより大きなマーケットのより多くの人々に、広くアプローチする手法を採用しています。
特定の個人へのアプローチ方法では、特定の個人の情報で特定の人にしかアプローチできません。新しい人へのアプローチは不可能なのです。ところが、マーケットを利用して、多くの人が希望するサービスや物品、好きなイメージを持った環境等を提供することで、潜在的な顧客を掘り起こして、顕在化させ、消費者のほうからサービス事業者へアプローチしてくれる形になるというのです。
例えば、アマゾン・ドット・コムのリコメンデーションもその1つと言われています。ある書籍を購入する人がいたとして、その人が次に買う本を調べます。同様に何人かの人の購入する書籍を調べます。すると、一定の行動様式や傾向が見えてきます。そこで、最初の本を購入した新しい顧客に、「この本を買った人はこういう本も買っていますよ」とレコメンド(推薦)するわけです。すると、多くの人は、同じ傾向を持っているので、その推薦を歓迎し、一度に推薦された本も含めて購入するということになり、大変強力な販売促進効果を得ることができるのです。
(中略)
ここで必要とされるのが匿名情報です。
牧野二郎, 新個人情報保護法とマイナンバー法への対応はこうする!, 日本実業出版社(2015), 179〜181頁
まるで、匿名加工情報の制度がないと、Amazon.comと同じことが許されないかのような口ぶりだが、まさにそういうことが、第1-5節「個人情報を理解する④ 匿名加工情報とはどういうものか」の42〜43頁で、以下のようにはっきりと書かれている。
こうして、取得した多くの個人情報は使われぬまま、活用の道がなく、死蔵されていたわけです。
しかし実務では、個人情報の利用方法として、個人名、個々の個人の識別符号は使わずに、属性情報を解析することで新しい利用価値を生み出せるとして、利用したいとの要望がありました。たとえば、ある年代の女性が強く興味を持つ商品群やその傾向、購買行動の解析などを通して、次の新商品を開発するといったことが可能になるというものです。
米国企業であるAmazonなどでは、購入履歴を詳細に収集し、匿名加工して購買履歴情報を収集して、商品の販売促進に活用しているという状況もあり、わが国の情報活用が著しく遅れてきたという事実が指摘されていました。
牧野二郎, 新個人情報保護法とマイナンバー法への対応はこうする!, 日本実業出版社(2015), 42〜43頁
出鱈目だ。Amazon.comのケースはファーストパーティのデータ利用であり、これまでも、個人情報保護法上何ら問題がなく、同様のことが許されてきた。現に「これを買った人はこれも買っています」というサービスは国内にもいくつも存在するではないか。いったいお前は何を見ているんだ?
こういった輩が、出鱈目を方々に吹聴しているせいで、方々でありもしない規制を妄想して「規制改革じゃー」と幻覚に苛まれた挙句、「利用目的変更をオプトアウト方式で可能に」などという制度破壊を目論み、そして自滅するという(2015年3月8日の日記「世界から孤立は瀬戸際で回避(パーソナルデータ保護法制の行方 その14)」参照)ことが起きるのか。
いい加減こういう素人はこの業界から去ってほしいし、業界も素人を見抜く眼力を持つべきだ。こういう輩に振り回されて、明後日の方向へ規制改革の検討を繰り返していたら、本当にこの国が滅ぶ。
*1 
*2 もっとも、この修正が必要だったのかには疑問がなくもない。「委託する場合」では曖昧なのかというと、5項柱書きに「次に掲げる場合において、当該個人データの提供を受ける者は」とあって、「提供を受ける」場合に限られることは明確なので、わざわざ各号で「提供される場合」と明確化する必要はないように思える。2号と表現を合わせる必要性があったかにも疑問がある。2号で言っていることは、一般的に事業承継において個人データも移転するとは限らないところ、事業承継のうち個人データが移転する場合ということを示す必要があったものであるのに対し、1号の委託は移転するのが当たり前であるし、3号の共同利用も移転するのが当たり前なので書いてなかっただけともとれる。ここの修正の理由は今のところ明らかにされていない。
*3 これは、「提供」という語をどう定義するかの違いでしかない。委託や共同利用を提供でないとする用法と、委託や共同利用は提供だが23条の第三者提供ではないとする用法があって、法は後者を選択しているのに、二郎本は前者の発想で勝手なことを言っているにすぎない。
*4 規約のみならず実態もそうであるならばだが。
*5 そして、実際のところはそうではないだろうという話は、先月21日の日記「CCCはお気の毒と言わざるをえない」にまとめた通り。
*6 これが第三者提供に当たるのかについても検討してみると、以下のようになるのではないか。ポイントを使用したときのレシートには、共通ポイント会員番号(の一部)と共に何ポイントを使ったかが印刷されて出てくるが、レシートの印刷と本人への手渡しも含めて、ポイント会社から加盟店への委託によるもの(店舗自身が発行するレシートに相乗りして2件が1枚で出ているにすぎない)であり、そのことをもって使用ポイント数情報が加盟店へ第三者提供されていることになるわけではない。加盟店が、そのデータを別途、自社が独自に管理するデータベースに記録しているならば、委託の受託では済まないことになる。ポイント使用による差引額として記録するにしても、共通ポイント会員番号を記録するのではなく、トランザクションIDと共に記録するのが普通だろう。その場合に、個人データの提供を受けたことになるかだが、差引額自体は、加盟店が本人との取引によって本人から直接取得したもの(ポイント会社と同時に取得したもの)と看做せばよいだろう。加盟店が本人を識別する番号で管理していないならば(一人一人のデータとして管理していないならば)、個人データとして取得したことにも当たらない。とはいえ、ポイント会社側にとっては、トランザクションIDは会員データベースと照合することができるし、そのように使うものであるから、個人データの一部ということになり、個人データの提供が行われることは否定できなさそうだ。結局、ポイント使用時は、何らかのデータがポイント会社から加盟店へ移転するので、個別の本人同意に基づく移転として整理するのがよさそう。
*7 他方、Tポイントを付けてもらうときに、購入した商品やサービスの名前までCCCに渡ることは自明ではなく、利用目的の明示ができていないことが問題の一つ(共同利用の論点とは別に)とされた。